Die immer systematischere Verarbeitung von personenbezogenen Daten hat die Artikel 29-Gruppe (ein Gremium mit Vertretern aus den nationalen Datenschutzbehörden der Europäischen Union) bewogen eine neue Stellungnahme zur Verarbeitung personenbezogener Daten im Rahmen des Beschäftigungsverhältnisses zu veröffentlichen[1]. Die bisherige Stellungnahme ist aus dem Jahr 2001[2]. Zudem werden in der neuen Stellungnahme die zusätzlichen Verpflichtungen der Arbeitgeber konkretisiert, die nach Auffassung der Artikel 29 Datenschutzgruppe mit Ablauf der Umsetzungsfrist der Datenschutzgrundverordnung zum Mai 2018 umzusetzen sind.

Der im Rahmen der Stellungnahme verwendete Begriff der Arbeitnehmer beschränkt sich nicht auf Personen, die einen Arbeitsvertrag innehaben. Der von der Artikel 29 Datenschutzgruppe verwendete weite Begriff umfasst sämtliche Personen, die in einem Beschäftigungsverhältnis unterliegen. Somit werden explizit Selbstständige und neue Wirtschaftsmodelle, die von anderen Beschäftigungsverhältnissen bedient werden, mit einbezogen.

Warum ist eine neue Stellungnahme zum „klassischen“ Arbeitnehmerdatenschutz notwendig?

Die Grenzen zwischen Privatleben und Arbeitszeit verschwimmen durch die immer verbreitetere Möglichkeit, temporär die Arbeitsleistung von verschiedenen Orten zu erbringen bzw. ganz oder teilweise im Homeoffice zu arbeiten. „Smarte“ Geräte, wie Smartphones, Wearables, etc. erleichtern nicht nur das Arbeitsleben. Sie stellen einerseits ein Risiko für die potentiell auf den Geräten verarbeiteten Kundendaten dar und ermöglichen andererseits auf einfachste Weise die Überwachung von Arbeitnehmern. Es besteht ein hohes Risiko aufgrund der effizienteren Technologie, dass Arbeitnehmer ungerechtfertigt überwacht werden. Eine neue Betrachtung der klassischen Abwägung zwischen den legitimen Interessen der Arbeitgeber gegenüber den angemessenen Erwartungen der Arbeitnehmer ist laut Artikel 29 Datenschutzgruppe erforderlich.

Einwilligungen nur ausnahmsweise als Rechtsgrundlage zulässig

Aufgrund des Abhängigkeitsverhältnisses in Arbeitgeber-Arbeitnehmer-Beziehungen lässt die Artikel 29 Datenschutzgruppe die Verarbeitung personenbezogener Daten außerhalb gesetzlicher Vorgaben nur ausnahmsweise zu, wenn die Einwilligung freiwillig geschieht und jederzeit widerrufen werden kann. Den Arbeitgebern wird empfohlen, sich auf andere Rechtsgrundlagen, wie den Nachweis eines legitimen Interesses, zur Verarbeitung personenbezogener Daten zu berufen. In jedem Fall, beispielsweise im Rahmen einer Datenschutzfolgenabschätzung, ist eine Überprüfung der Verhältnismäßigkeit der Datenverarbeitung notwendig. Zusätzlich sind Risiken der potentiellen Verletzung der Privatsphäre der Arbeitnehmer und des Kommunikationsgeheimnisses zu minimieren.

Richtlinie 95/46/EC und die Datenschutzgrundverordnung

Obgleich die Richtlinie 95/46/EC zum Mai 2018 außer Kraft gesetzt wird, hebt die Artikel 29 Gruppe die drei Prinzipien der Richtlinie der notwendigen Rechtsgrundlagen, Transparenz und automatisierten Entscheidungen hervor. Es wird umgehend auf bestehende Verpflichtungen bei der Verarbeitung personenbezogener Daten eingegangen. Im Gegensatz zur Richtlinie 95/46/EC stellt die Datenschutzgrundverordnung strengere und neue Anforderungen an sämtliche Datenverantwortliche.

„Privacy by Design“ und „Default“ und die Datenschutz-Folgenabschätzungen

Die Datenverantwortlichen müssen den Datenschutz durch Technikgestaltung („Privacy by Design“) und durch datenschutzfreundliche Voreinstellungen („Privacy by Default“) gemäß Art. 25 DSGVO gewährleisten. Um diese Anforderungen für Arbeitgeber greifbarer zu machen, führt die Art. 29 Datenschutzgruppe an, dass der Arbeitgeber bei Ausgabe von trackingfähigen Geräten[3] an Mitarbeiter die datenschutzfreundlichsten Lösungen verwenden sollte. Hiermit soll eine potentielle Verletzung von Persönlichkeitsrechten der Arbeitnehmer und das Risiko der Analyse von gesammelten Meta-Daten minimiert werden. Anstatt weitere Hinweise zur Datenschutz-Folgenabschätzung nach Art. 35 DSGVO anzuführen, weist die Artikel 29 Datenschutzgruppe auf die Stellungnahme vom 4.April 2017 hin[4].

Welche Folgen könnten für die Arbeitnehmer und Arbeitgeber bei Nichteinhaltung des Arbeitnehmerdatenschutzes entstehen?

Durch die effizientere und kostengünstige Technologisierung der Kommunikationsmittel werden nach Aussage der Artikel 29 Datenschutzgruppe Arbeitnehmer unter Druck gesetzt. Die potentiellen Konsequenzen sind für die Mitarbeiter gegebenenfalls nicht bewusst. Die Artikel 29 Datenschutzgruppe sieht Risiken für die Arbeitnehmerrechte durch die exzessive Sammlung von personenbezogenen Daten der Arbeitnehmer sowie deren Kombination.

Die Szenarien der Artikel 29 Datenschutzgruppe

Die Artikel 29 Datenschutzgruppe empfiehlt Arbeitgebern eine generelle Betrachtung des Umgangs mit personenbezogenen Daten während der Verarbeitung: Zunächst sollte die Verarbeitung notwendig sein und kumulativ hierzu auf anwendbaren Rechtsgrundlagen basieren. Die Verarbeitung sollte gegenüber den Arbeitnehmern fair, verhältnismäßig gegenüber den vorgebrachten Anliegen und transparent sein. Des Weiteren fokussiert sich die Stellungnahme auf sieben konkrete Szenarien.

Szenario 1: Soziale Medien im Bewerbungsverfahren

Arbeitgeber sollten im Bewerbungsverfahren keinerlei Informationen aus den sozialen Medien über Bewerber einholen. Ausnahmen sind Jobportale wie XING oder LinkedIn. Erhobene Daten sind generell bei Nichteignung des Bewerbers und bei Ablehnung der Stelle zu löschen. Die Artikel 29 Datenschutzgruppe weist ausdrücklich darauf hin, dass keine Rechtsgrundlage hinsichtlich Freundschaftsanfragen an den Bewerber bzw. jeglicher sonstiger Zugriff auf deren Profilinhalte besteht.

Szenario 2: Die Überwachung von Arbeitnehmern

Der technische Fortschritt ermöglicht Arbeitgebern eine dauerhafte Überprüfung und Sammlung von Informationen über ihre Angestellten mittels sozialer Medien. Diese Informationen sind per se irrelevant für das Beschäftigungsverhältnis. Von einer allgemeinen Überwachung der Arbeitnehmeraktivitäten in sozialen Netzwerken rät die Artikel 29 Datenschutzgruppe ab.

Die Arbeitnehmer in besonderen Arbeitsbereichen, wie Pressesprecher, sollten nicht zur Nutzung von seitens der Arbeitgeber bereitgestellten Social Media Profile vom Arbeitgeber verpflichtet werden. Im Rahmen des Beschäftigungsvertrags sollte spezifiziert sein, dass den Arbeitnehmern die Möglichkeit eines privaten Profils ohne Bezug zum Arbeitgeber ermöglicht wird. Eine Überwachung der LinkedIn Profile ausgeschiedener Mitarbeiter wird dem Arbeitgeber für die Dauer des nachvertraglichen Wettbewerbverbots zugestanden, um die Einhaltung des legitimen Arbeitgeberinteresses zu ermöglichen.

Szenario 3: Die Überwachung von Kommunikationstechnologie am Arbeitsplatz

Eine Überwachung des Arbeitsplatzes ist nur in wenigen Fällen zulässig. Die Maßnahme muss verhältnismäßig sein und mögliche zusätzliche Schritte zur Milderung oder Reduktion des Umfangs und Einflusses der Datenverarbeitung a priori in Betracht gezogen worden sein.

Bei Nutzung cloud-basierter Anwendungen, wie Kalendern, empfiehlt die Artikel 29 zunächst die Bestimmung bestimmter Bereiche für die private Nutzung der Arbeitnehmer. Zudem sollte auf diese nur bei außergewöhnlichen Umständen dem Arbeitgeber ein befugter Zugriff zugestanden werden. Um die Nutzung bestimmter Internetseiten für den privaten Gebrauch zu limitieren, wird empfohlen, präventiv bestimmte Internetseiten zu blockieren.

Szenario 4: Die Überwachung von Kommunikationstechnologie fern des Arbeitsplatzes

Durch die Ausdehnung der Arbeit von zu Hause aus und die Nutzung privater technischer Geräte für den Beruf kann das Privatleben der Arbeitnehmer einem stetig steigenden Risiko ausgesetzt sein. Die Nutzung potentieller Überwachungstechnologien wird hierdurch in die private Sphäre der Arbeitnehmer ausgedehnt. Konkret geht die Artikel 29 Datenschutzgruppe auf die Risiken beim Home Office, der Nutzung eigener technischer Geräte, dem Mobile Device Management und der Nutzung tragbarer Geräte ein.

Szenario 5 und 6: Zeiterhebungen und Videoüberwachung

Moderne Zeiterfassungstechnologien erfassen die exakten Ein- und Ausgangszeiten eines jeden Arbeitnehmers und erlauben in gewissem Rahmen sogar eine Frequenzbestimmung bei der Erledigung der übertragenen Aufgaben. Die Arbeitnehmer sind über die Verarbeitung der Informationen angemessen zu informieren. Jegliche Verarbeitung für nicht verhältnismäßige Zwecke ist nicht erlaubt.

Die Videoanalyse ist durch relevante technologische Neuerungen einfacher geworden. Arbeitgeber können über automatisierte Vorgänge selbst in Gesichtsausdrücken der Arbeitnehmer abweichende Bewegungsmuster feststellen. Von der Nutzung automatisierter Gesichtserkennungstechnologien ist im Arbeitskontext außer in wenigen Ausnahmefällen vollständig abzusehen, da dies generell unverhältnismäßig gegenüber der Rechte und Freiheiten der Arbeitnehmer ist.

Szenario 7: Die Überwachung von Firmenwagen

Sämtliche Fahrzeuge mit integrierter Fahrzeug-Telematik sammeln Daten der Arbeitnehmer. Der Umfang der gesammelten Daten variiert und Arbeitgeber können verpflichtet sein, Standortbestimmungssoftware in Automobilen zu installieren, um rechtlichen Verpflichtungen beispielsweise hinsichtlich der Arbeitnehmersicherheit nachzukommen. Der Arbeitgeber ist verpflichtet die Arbeitnehmer über sämtliche Standortbestimmungsgeräte der Firmenwagen zu informieren. Empfohlen wird eine prominent platzierte Information in Sichtweite des Fahrers. Bei erlaubter Privatnutzung des Firmenwagens außerhalb der Arbeitszeit besteht keine Rechtsgrundlage zur Überwachung der Standortdaten. Auszunehmen sind Maßnahmen zur Diebstahlprävention, sodass auf Standortdaten außerhalb der Arbeitszeiten zurückgegriffen werden darf, wenn das Fahrzeug einen festgelegten Bereich verlässt. Die Artikel 29 Datenschutzgruppe spezifiziert Anforderungen der Standortbestimmungen in weiteren Stellungnahmen.[5]

Szenario 8 und 9: Die Übermittlung von Arbeitnehmerdaten an Dritte im In- und Ausland

Für die Weitergabe von Arbeitnehmerdaten an Dritte, wie z.B. Kunden im Rahmen der Erbringung von Dienstleistungen, besteht nach Auffassung der Artikel 29 Datenschutzgruppe keine Rechtsgrundlage.

Eine Übermittlung personenbezogener Daten außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums bedarf eines angemessenen Schutzniveaus. Die Übermittlung sollte sich auf eben dieses berufen und nicht auf die in Art. 26 der Richtlinie 95/46/EU angeführten Ausnahmen. In jedem Fall ist sicherzustellen, dass die Übermittlung sich auf eine rechtswirksame Einwilligung begründet und der Zugriff auf die personenbezogenen Daten seitens anderer Konzerngesellschaften auf das notwendige Maß für die beabsichtigten Zwecke beschränkt ist.

Abschluss der Stellungnahme

Im Rahmen des letzten Abschnitts führt die Artikel 29 Datenschutzgruppe im Kontext des Schutzes von Arbeitnehmerdaten anwendbare Grundrechte, die Anforderungen an die Einwilligung im Arbeitskontext, das Prinzip der Transparenz, der Verhältnismäßigkeit und der Datensparsamkeit an. Zudem werden zuvor ausgeführte Anmerkungen hinsichtlich der Nutzung von Cloud-Diensten, Online Anwendungen und der Übermittlung personenbezogener Daten außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums angeführt.

[1] Siehe WP 29, Opinion 2/2017 on data processing at work, WP 249, 8 June 2017, url: http://ec.europa.eu/newsroom/document.cfm?doc_id=45631.

[2] Siehe WP29, Opinion 08/2001 on the processing of personal data in the employment context, WP 48, 13 September 2001, url:

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2001/wp48_en.pdf; WP29, Working document on the surveillance of electronic communications in the workplace, WP 55, 29 May 2002, url:

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2002/wp55_en.pdf.

[3] Tracking fähige Geräte sind beispielsweise Smartphones, die eine andauernde Ortung der Mitarbeiter ermöglichen.

[4] WP29, Guidelines on data protection impact assessment (DPIA) and determining whether processing is likely to result in “high risk” for the purposes of Regulation 2016/679, WP 248, 04 April 2017, url: http://ec.europa.eu/newsroom/document.cfm?doc_id=44137, page 18.

[5] WP29, Opinion 13/2011 on Geolocation services on smart mobile devices, WP 185, 16 May 2011, url: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp185_en.pdf; WP29, Opinion 5/2005 on the use of location data with a view to providing value-added services, WP 115, 25 November 2005, url: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2005/wp115_en.pdf .